Ein User kann plötzlich nicht mehr richtig im SAP-System arbeiten. Und natürlich sind – angeblich – fehlende Berechtigungen Schuld. Wir zeigen Ihnen, wie Sie schnell und zuverlässig analysieren, ob und welche Berechtigungsfehler wirklich vorliegen.
User XY schreibt ein aufgeregtes Ticket: Er kann seine Aufgaben im SAP-System nicht mehr ausführen. Bisher ging das IMMER. Für den First-Level-Support war klar: Das muss an Berechtigungen liegen und schon landet das Ticket bei Ihnen. Doch wie finden Sie jetzt heraus, ob dem User wirklich Berechtigungen fehlen oder der Fehler ganz woanders liegt?
Änderungsbelege zum User
Gehen wir davon aus, dass Sie den Usernamen kennen und wissen, in welchem System und Mandanten der Fehler auftritt (wenn nicht, erfragen Sie diese Angaben bitte erstmal). In dem Fall rufen Sie den User im betroffenen System/Mandanten über die Transaktion SU01 auf. Gehen Sie ganz oben im Systemmenü auf den Reiter „Info“ und klicken dort „Änderungsbelege für Benutzer“ an.
Im folgenden Screen können Sie genauer definieren, welche Änderungen Sie sehen wollen. Im oberen Bereich geben Sie – sofern bekannt – den Zeitraum ein, in dem die Änderung vermutlich stattfand. In unserem Beispielfall, in dem der User behauptet, bis heute hätte alles funktioniert, könnten Sie den Zeitraum hier also auf heute eingrenzen. Um ggf. Änderungen durch Hintergrundjobs mit zu berücksichtigen, die nach Dienstschluss eingelaufen sind, sollten Sie sicherheitshalber auch Änderungen seit gestern einschließen. Außerdem können Sie hier auch nach Änderungen durch einen bestimmten User suchen. Das ist in unserem Beispiel wenig sinnvoll. Aber wenn Sie beispielsweise nur Änderungen sehen wollen, die durch Hintergrundjobs erfolgt sind, könnten Sie hier auf technische User eingrenzen.
Im unteren Teil des Bildschirms wählen Sie aus, zu welchen Inhalten Sie Änderungsbelege sehen wollen. In unserem Fall wählen Sie zum Beispiel „Rollen/Profile“. Setzen Sie hier einen Haken bei „Rollen“. Theoretisch könnten Sie hier Rollennamen eingeben, aber da wir ja erstmal nur grundsätzlich wissen wollen, ob dem User seit gestern eventuell Rollen entzogen wurden, lassen Sie das Feld leer. Führen Sie die Suche aus, zeigt Ihnen das System anschließen, ob und welche Rollen dem User entzogen (oder hinzugefügt) worden sind.
Bleibt die Tabelle leer, können Sie dieselbe Analyse noch mal mit einem größeren Zeitraum durchführen und schauen, ob in letzter Zeit überhaupt Änderungen stattgefunden haben. Bleibt auch das erfolglos, müssen Sie prüfen, ob eine oder mehrere der Rollen, die dem User zugewiesen sind, geändert wurden.
Änderungsbelege der Rollen
Wenn Sie bereits wissen, welche konkrete Rolle den Fehler verursacht oder wenn der User nur sehr wenig Rollen hat, können Sie die Analyse einfach über die Transaktion PFCG durchführen. Öffnen Sie die PFCG, gehen Sie dort im Menü auf „Umfeld“ und „Änderungen anzeigen“. Anschließend sehen Sie einen ähnlichen Bildschirm wie bei den Änderungsbelegen zum User. Hier können Sie wieder den Änderer und den Zeitraum eingrenzen. Außerdem geben Sie hier die Rolle beziehungsweise die Rollen ein, die Sie überprüfen möchten. Gut zu wissen: Der Rollenname wird automatisch eingetragen, wenn Sie die Rolle vorher in der PFCG aufgerufen haben.
Im unteren Bildschirm markieren Sie „Berechtigungsdaten“. Damit öffnet sich am Ende der Liste ein Feld, in dem Sie Berechtigungsobjekte eingeben können. Das ist sinnvoll, wenn Sie bereits wissen, welches Objekt auf Fehler läuft und wissen wollen, wann das geändert wurde. Wissen Sie das nicht, lassen Sie das Feld einfach leer.
Führen Sie die Suche jetzt aus, wird Ihnen in der folgenden Tabelle angezeigt, welche User wann welche Änderungen an Berechtigungsobjekten vorgenommen hat, die diese Rolle enthält.
Bleibt auch diese Tabelle leer, können Sie davon ausgehen, dass das Problem NICHT erst seit heute auftritt oder dass es sich nicht um ein Berechtigungsproblem handelt. Um das genauer zu analysieren, müssen Sie den Fehler im Detail unter die Lupe nehmen. Auch wenn die Änderungsbelege zu viele Änderungen anzeigen oder Sie nicht eingrenzen können, welche davon den Fehler verursacht haben könnte, müssen Sie tiefer in die Analyse einsteigen.
SU53
Dafür fordern Sie im nächsten Schritt eine SU53 vom betroffenen User an. Die SU53 ist das Berechtigungsfehlerprotokoll. Fordern Sie den User auf, die Transaktion auszuführen, die auf Fehler läuft, bis er oder sie erneut eine Fehlermeldung bekommt. Anschließend soll er die Transaktion SU53 ausführen und Ihnen einen Screenshot der Tabelle schicken. Achtung: Wichtig ist, dass der User einen vollständigen Screenshot schickt (vor allem in der Breite), denn während die SU53 links anzeigt, ob eine Berechtigungsprüfung erfolgreich war oder nicht und welches Objekt betroffen ist, sehen Sie ganz rechts, welche Feldwerte geprüft, also gebraucht, werden.
Gut zu wissen: Sie können die Transaktion SU53 auch für einen anderen User aufrufen. Das muss aber zeitnah nach Auftreten des Fehlers passieren. Rufen Sie dann im selben System/Mandanten, in dem der User arbeitet, die SU53 auf, wechseln Sie im Menüband über das Symbol mit den beiden Quadraten in die Ansicht „fremder User“, geben Sie den Usernamen ein und folgen dann den oben beschriebenen Schritten.
Wichtig: Die SU53 ist immer nur ein Ausschnitt, kein vollständiges Berechtigungsprotokoll. Es kann deshalb sein, dass die Fehler, die das Problem verursachen, in der SU53 nicht auftauchen oder dass die SU53, mehrfach hintereinander aufgerufen, unterschiedliche Fehler auswirft.
Berechtigungstrace
Wenn die SU53 keine (relevanten) Fehler auswirft oder Sie die Probleme aus der Analyse beheben, der User aber immer noch nicht wieder arbeiten kann, wird es Zeit für einen Berechtigungstrace. Informieren Sie sich über die verschiedenen Trace-Arten. In den allermeisten Fällen werden Sie mit dem STAUTHTRACE arbeiten.
Vereinbaren Sie einen Termin mit dem User, an dem er noch einmal alle Arbeitsschritte ausführen soll, die zur Fehlermeldung führen. Bevor er beginnt, rufen Sie (im selben System und Mandanten) die Transaktion STAUTHTRACE auf, geben den Usernamen des Users ein, den Sie tracen wollen und wählen ggf., ob Sie einen lokalen oder systemweiten Trace (=alle Systeminstanzen) starten wollen. Nun lassen Sie den User arbeiten. Nach Auftreten des Fehlers stoppen Sie den Trace, geben den User im unteren Bildschirmbereich im Auswertung-Fenster ein und lassen sich die Ergebnisse anzeigen.
Die Tabelle zeigt Ihnen jetzt alle Berechtigungsprüfungen an, die das System während des Traces für den User durchlaufen hat. Rot markiert sind Berechtigungsprüfungen, die auf Fehler gelaufen sind. Die sind für Sie relevant.
Wichtig: Der Trace zeigt ALLE (fehlerhaften) Berechtigungsprüfungen an. Das heißt nicht, dass auch alle für den aufgetretenen Fehler relevant sind. Aber Sie können die Ursache eingrenzen, in dem Sie sich die Objekte ansehen, die auf Fehler laufen und die rausfiltern, die in Frage kommen.
SUIM
Wenn Sie jetzt herausgefunden haben, welche Objekte vermutlich relevant sind, um den Fehler zu beheben, gilt es herauszufinden, in welchen Rollen diese Objekte verbaut sind.
Rufen Sie dafür die Transaktion SUIM auf. Prüfen Sie hier zunächst, ob der User selbst über Rollen verfügt, in denen diese Objekte verbaut sind. Denn sehr häufig fehlen dem User nicht die komplette Berechtigung, sondern nur bestimmte Feldwerte im Objekt.
Rufen Sie dafür in der SUIM unter dem Punkt „Rollen“ den Punkt „Rollen nach komplexen Selektionskriterien“ auf. Geben Sie im Feld „mit gültiger Zuordnung von“ den Usernamen ein und tragen Sie unten unter „Selektion nach Berechtigungswerten“ den Namen des Objekts ein. Achtung: Enter drücken nicht vergessen, damit der Unterdialog geöffnet wird, in dem Sie zusätzlich konkrete Feldwerte filtern können. Da wir aus dem Trace aber schon wissen, dass der User die relevanten Ausprägungen nicht hat, lassen Sie diese Felder zunächst frei und führen die Analyse aus.
Gut zu wissen: Solange Sie nicht nach konkreten Ausprägungen suchen, können Sie statt im Bereich „Selektion nach Berechtigungswerten“ über das entsprechende Feld im Bereich „Selektion nach Profilen und Berechtigungsobjekten“ suchen.
Im Ergebnis werden Ihnen alle Rollen angezeigt, die das gesuchte Objekt enthalten und dem User zugewiesen sind. Prüfen Sie, ob eine dieser Rollen um die fehlenden Berechtigungen erweitert werden kann.
Können diese Rollen nicht angepasst werden – zum Beispiel, weil es nur Display-Rollen sind, Sie aber Bearbeitungsberechtigungen vergeben müssen – gehen Sie zurück zum Suchbildschirm und führen Sie die Analyse ohne Benutzerzuordnung aus. Jetzt werden Ihnen ALLE Rollen angezeigt, die in diesem System/Mandanten über das gesuchte Objekt verfügen. Wenn Sie zusätzlich im Bereich „Berechtigungsobjekt“ nun die Feldwerte eingeben, die laut Trace geprüft werden, wird Ihre Suche noch präziser. Nun sehen Sie alle Rollen, die die tatsächlich benötigte konkrete Berechtigung enthalten. Prüfen Sie, ob Sie dem User eine dieser Rollen zuweisen können.
Tabellen
Normalerweise lässt sich der Großteil der Berechtigungsprobleme über die Transaktionen SU01, PFCG, SU53, STAUTHTRACE und SUIM lösen. Aber manchmal müssen Sie tiefer graben. Wenn der Fehler zum Beispiel auftritt, weil eine Orgebene nicht oder nicht ausreichend ausgeprägt ist. In diesem Fall helfen Tabellen oft weiter (AGR_1252 für Orgebenen nach Rollen zum Beispiel). Schauen Sie sich gern unsere Übersicht der wichtigsten Tabellen für Berechtiger an, um mehr dazu zu erfahren.